FAQ - PRIVALORA
Afin de rendre la consultation plus simple et intuitive, cette FAQ est organisée en quatre sections :
Questions fréquentes – Comprendre le RGPD
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est un texte européen entré en application le 25 mai 2018. Il encadre la collecte, l’utilisation et la protection des données personnelles au sein de l’Union européenne.
Il impose des obligations aux organisations publiques et privées (entreprises, associations, collectivités, etc.) et vise à garantir, notamment, la transparence des traitements, la sécurité des données et les droits des personnes concernées.
À qui s’applique le RGPD ?
Le RGPD s’applique à toutes les organisations, qu’elles soient établies dans l’Union européenne ou non, dès lors qu’elles traitent des données personnelles de personnes se trouvant sur le territoire européen.
Cela inclut les TPE, PME, professions libérales, startups, associations et collectivités locales. Il n’existe aucune exemption liée à la taille ou au secteur : même les petites structures doivent se conformer au RGPD.
Le RGPD s’applique-t-il uniquement en Europe ?
Non. Le RGPD s’applique même aux organisations situées en dehors de l’Union européenne, dès lors qu’elles mettent en œuvre des traitements ciblant des personnes se trouvant sur le territoire européen.
Exemple : une société américaine proposant des produits ou services en ligne à des clients français est tenue de respecter le RGPD.
Le RGPD concerne-t-il les associations et les petites entreprises ?
Oui. Contrairement à une idée reçue, aucun seuil (taille d’effectif ou volume de données traitées) n’exonère une structure de ses obligations RGPD.
Les associations collectant des données (membres, donateurs, bénévoles, etc.) et les petites entreprises (gestion clients, marketing, RH, etc.) doivent également respecter le RGPD.
Quelles sont les données personnelles couvertes par le RGPD ?
Le RGPD couvre toute information permettant d’identifier directement ou indirectement une personne physique.
Certaines données sont considérées comme « sensibles » (santé, religion, opinions politiques, etc.) et sont soumises à des obligations renforcées.
Qu’est-ce qu’une donnée dite “sensible” au sens du RGPD ?
Certaines données sont considérées comme « sensibles » (article 9 RGPD) car elles représentent un risque particulièrement élevé pour les personnes concernées.
Leur traitement est interdit par principe. Il n’est autorisé que dans des cas d’exception strictement définis par le RGPD. Dans tous les cas, ces traitements doivent être encadrés de façon rigoureuse et accompagnés de mesures de sécurité renforcées.
Le RGPD concerne-t-il uniquement les données numériques ?
Non. Le RGPD s’applique à toute donnée personnelle, qu’elle soit au format numérique (email, formulaires électroniques, base de données, etc.) ou papier (fiches clients, dossiers imprimés, archives, etc.).
Exemple : même un fichier Excel hors ligne ou un carnet de contacts papier entrent dans le champ du RGPD.
Qu’est-ce qu’un traitement de données personnelles selon le RGPD ?
Un « traitement » désigne toute opération réalisée sur des données personnelles, quel que soit le procédé utilisé. Cela englobe notamment les opérations de collecte ; enregistrement et stockage ; consultation (y compris le simple visionnage) ; extraction ; diffusion.
Même des actions simples (envoi d’un email, création d’une fiche client, etc.) constituent un traitement au sens du RGPD.
Qu’est-ce qu’un responsable de traitement au sens du RGPD ?
Le responsable de traitement désigne toute personne, physique ou morale, déterminant les objectifs poursuivis par le traitement et les moyens engagés pour sa mise en œuvre (comment les données sont traitées).
Quels sont les risques et sanctions en cas de non-respect du RGPD ?
La non-conformité au RGPD peut entraîner des sanctions administratives (jusqu’à 20M EUR ou 4% du CA mondial annuel), des sanctions pénales et des coûts cachés (assistance juridique, frais judiciaires, techniques, etc.).
De plus, les organisations s’exposent à des risques opérationnels, commerciaux et réputationnels.
Quels secteurs sont les plus exposés au risque de sanction RGPD ?
Certains secteurs font l’objet d’une surveillance accrue de la part des autorités, notamment ceux de la santé, de la banque, de la finance et des assurances et du e-commerce.
Mais en réalité, toute organisation collectant des données personnelles est exposée.
Le RGPD s’applique-t-il aux cookies et autres traceurs ?
Oui. Les cookies et technologies similaires sont encadrés par le RGPD et la directive ePrivacy.
On distingue les cookies « techniques », dispensés de consentement, des autres cookies (mesure d’audience, marketing, publicité ciblée, etc.), pour lesquels le consentement des utilisateurs doit obligatoirement être recueilli.
Questions fréquentes – Principes et obligations RGPD
Quels sont les principes fondamentaux du RGPD ?
Le RGPD repose sur 7 grands principes : licéité ; limitation des finalités ; minimisation ; exactitude ; conservation limitée ; intégrité et confidentialité ; responsabilité (ou « accountability »).
Ces principes encadrent toute collecte ou traitement de données.
Combien de temps dois-je conserver les données personnelles ?
Le RGPD impose la limitation de la conservation : les données doivent être conservées seulement le temps nécessaire pour accomplir les objectifs poursuivis.
Bonne pratique : définir et documenter des durées de conservation pour chaque traitement dans le registre des activités de traitement.
Quelles sont les principales obligations RGPD ?
Le RGPD impose un certain nombre d’obligations, dont notamment celles d’informer les personnes concernées ; de respecter leurs droits ; de gérer les risques, d’encadrer l’ensemble de la chaîne de traitement et de sécuriser les données.
Quels sont les droits des personnes concernées ?
Les individus disposent de droits élargis : droit d’accès, de rectification, d’effacement, d’opposition, à la portabilité, à la limitation du traitement, etc. Quel que soit le droit exercé, le responsable du traitement doit en principe y répondre dans un délai d’un mois.
Qui doit désigner un DPO (Délégué à la protection des données) ?
La désignation d’un DPO est obligatoire pour certaines structures (autorités publiques, organisations réalisant des traitements sensibles ou à grande échelle). Elle est également fortement recommandée pour structurer durablement la conformité.
Qu’est-ce qu’un registre des activités de traitement ?
Le registre RGPD permet de documenter l’ensemble des traitements de données personnelles réalisés par une organisation. Il est une pièce centrale et stratégique de la conformité RGPD, même pour les petites structures.
Qu’est-ce qui compose le registre de traitement ?
Le registre des activités de traitement recense tous les traitements de données personnelles réalisés par l’organisation, leurs finalités, les catégories de données traitées, les destinataires des données, les éventuels transferts de données hors Union européenne, les mesures de sécurité déployées, etc.
Pour qui le registre RGPD est obligatoire ?
La tenue du registre est obligatoire pour toutes les organisations de plus de 250 salariés, pour celles procédant à des traitements de données dites « sensibles » ou récurrents.
Seules les organisations mettant en œuvre des traitements très ponctuels peuvent être exemptées, mais cela reste rare.
Une petite entreprise doit-elle tenir un registre des activités de traitement ?
Oui, dans la grande majorité des cas. Seules les entreprises de moins de 250 salariés en sont dispensées dans un cadre limité (aucun traitement régulier, aucun traitement sensible, aucun risque pour les personnes).
En pratique, 99 % des entreprises doivent tenir un registre pour prouver leur conformité et éviter tout risque de sanction.
Quelles sont les obligations RGPD en termes de sécurité des données ?
Le RGPD impose au responsable de traitement et au sous-traitant de mettre en place des mesures :
- Techniques : mot de passes forts, chiffrement des données, sauvegardes, contrôle d’accès, etc.
- Organisationnelles : politiques et procédures internes, formation des équipes, gestion des habilitations, etc.
L’objectif est de garantir la confidentialité, l’intégrité et la disponibilité des données personnelles.
Qu’est-ce qu’une violation de données personnelles ?
Le terme de violation de données personnelles désigne toute faille de sécurité entraînant :
- la destruction, perte ou altération accidentelle des données et/ou
- la divulgation ou l’accès non autorisé aux données et/ou
- l’indisponibilité temporaire ou permanente des données.
Cela inclut les cyberattaques, mais aussi les erreurs humaines.
Qu’est-ce qu’un sous-traitant au sens du RGPD ?
Le terme de sous-traitant de données personnelles désigne toute entité (société, association, consultant, prestataire SaaS, etc.) traitant des données personnelles pour le compte d’un responsable de traitement.
Exemples : un cabinet comptable ; un prestataire de gestion de la paie ; un prestataire informatique.
Quelles sont les obligations en matière de contractualisation RGPD ?
Les responsables de traitement doivent encadrer leurs relations avec les sous-traitants par des contrats contenant des clauses spécifiques RGPD. Cela permet d’assurer le partage des responsabilités et la traçabilité des obligations.
Qui est responsable en cas de non-conformité d’un sous-traitant ?
Le responsable de traitement reste juridiquement responsable auprès des personnes concernées (article 82 RGPD).
Il doit donc :
- Sélectionner des prestataires conformes
- Vérifier leurs engagements (audit, questionnaire, etc.)
- Formaliser le tout dans un contrat.
Qu’est-ce qu’un transfert de données hors Union européenne ?
Tout traitement impliquant que des données personnelles quittent l’Espace Économique Européen (EEE).
Le « transfert » n’implique pas un acte positif de communication de données à un tiers. Le simple fait que le tiers soit en capacité de visualiser des données personnelles que vous traitez constitue un transfert.
Exemples :
- Héberger des données sur un serveur situé aux États-Unis
- Partager des informations clients avec une filiale en Asie
- Accorder un accès à des logiciels opérationnels à un prestataire informatique en Inde
Comment encadrer les transferts de données hors UE ?
Tout transfert vers un pays tiers doit être encadré juridiquement (clauses contractuelles types, BCR, décision d’adéquation, etc.). Le RGPD impose une évaluation rigoureuse des garanties offertes par l’entité destinataire des données et le système juridique dont elle dépend.
Dois-je nommer un représentant RGPD en Europe si mon entreprise est basée hors UE ?
Oui, si vous êtes établi en dehors de l’Union européenne mais que vous ciblez des personnes sur le territoire européen, vous devez désigner un représentant RGPD.
Ce représentant fait l’interface avec les autorités de contrôle (comme la CNIL) et les personnes concernées.
Questions fréquentes – Qu'est-ce que la conformité RGPD ?
Qu’est-ce que la conformité RGPD et pourquoi est-elle indispensable ?
La conformité RGPD consiste à respecter les règles européennes en matière de traitement des données personnelles. Elle vise à protéger les droits des individus et à encadrer l’usage de leurs données.
Outre l’obligation réglementaire, elle constitue un levier stratégique de confiance, de performance et de réduction des risques.
Quels sont les bénéfices concrets d’une mise en conformité RGPD ?
Bien menée, la conformité RGPD constitue un investissement rentable.
- Avantage concurrentiel : vous gagnez la confiance des partenaires et investisseurs, augmentez la fidélisation des clients, la conversion des prospects, etc.
- Meilleure attractivité commerciale : vous améliorez l’image de votre organisation, développez l’éthique de votre organisation, facilitez votre accès à un nombre croissant de marchés (appels d’offres, cahiers des charges, etc.).
- Optimisation interne : vous structurez vos processus métiers, fluidifiez vos processus interservices, améliorez votre gouvernance numérique, clarifiez vos flux de données.
- Réduction des risques : moins de failles de sécurité, moins de coûts imprévus.
Le RGPD peut-il améliorer l’image de mon entreprise ?
Oui. Une entreprise transparente et respectueuse des données inspire confiance, d’autant plus que la protection de la vie privée est une thématique de plus en prégnante dans l’opinion publique.
Il s’agit d’un argument commercial fort, notamment auprès de grandes structures, d’investisseurs et des clients sensibles aux questions éthiques.
De plus, la conformité RGPD peut être mise en avant comme un gage de professionnalisme dans votre communication.
En combien de temps peut-on se mettre en conformité ?
Cela dépend de votre organisation, de votre niveau de maturité et de la complexité de vos traitements.
Certaines actions peuvent être mises en place rapidement (mentions légales, politique de confidentialité, registre initial, etc.), alors qu’un accompagnement global se construit dans la durée.
Nous adaptons nos prestations à votre rythme et vos priorités.
Quel est le retour sur investissement (ROI) d’une mise en conformité RGPD ?
Même s’il est difficile à chiffrer de manière universelle, le ROI d’une démarche de mise en conformité RGPD peut être mesuré via des indicateurs de performance.
Exemple de KPIs mobilisables :
- Moins d’incidents et de violations de données.
- Diminution des coûts liés à des crises ou litiges.
- Gains de productivité (meilleure gestion des données).
- Augmentation de la conversion clients grâce à la confiance instaurée.
En bref : le coût d’une mise en conformité sérieuse est toujours inférieur au coût d’une sanction ou d’un incident majeur.
Est-il vrai que certains partenaires refusent de travailler avec des organisations non conformes au RGPD ?
Oui. Dans le cadre de leur propre conformité RGPD, de plus en plus d’acteurs (grands groupes, administrations, partenaires étrangers) exigent notamment :
- La présence d’un DPO
- Un registre des activités de traitement
- Des clauses contractuelles RGPD
Sans ces éléments, votre entreprise risque d’être écartée d’appels d’offres ou de contrats stratégiques.
Qu’est-ce que la responsabilité RGPD ou « accountability RGPD » ?
Le RGPD impose un principe de responsabilisation, ou « accountability » (article 5.2 RGPD). Il désigne l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Cela signifie que vous devez non seulement être conforme, mais aussi pouvoir le démontrer. Pour cela, un dossier d’accountability doit être constitué.
Qu’est-ce que le dossier d’accountability ?
L’accountability est le principe selon lequel l’organisation doit être en mesure de prouver sa conformité RGPD. Cela passe par la consignation d’un ensemble de documents : registre, AIPD, politiques internes, contrats, preuves de consentement, etc.
Questions fréquentes – L'accompagnement PRIVALORA
À qui s’adressent les services proposés par PRIVALORA ?
Nos accompagnements RGPD s’adressent à toutes les organisations, quel que soit leur secteur d’activité : entreprises, collectivités, associations, établissements publics, professions réglementées, etc.
Nous adaptons nos prestations à la taille, aux enjeux et au niveau de maturité de votre structure.
Quels types de prestations proposons-nous ?
PRIVALORA intervient à toutes les étapes de la conformité RGPD :
- Audit RGPD
- Accompagnement stratégique et pilotage régulier
- DPO externalisé
- Réalisation d’AIPD
- Formations et sensibilisation internes
- Mise en conformité de sites web
Où sommes-nous basés ? Quelles sont les modalités de nos interventions ?
PRIVALORA est basé en France et intervient sur l’ensemble du territoire. Nous favorisons les échanges humains et nous déplaçons sur site si nécessaire (notamment dans le cadre de l’audit RGPD).
Nos accompagnements peuvent être hybrides (distanciel et présentiel), en fonction de vos préférences.
Qu’est-ce qui différencie PRIVALORA ?
PRIVALORA se différencie notamment par :
- Une expertise juridique, stratégique et technique pointue
- La capacité à rendre la conformité RGPD profitable à votre organisation
- Une approche sur mesure et pragmatique
- Des solutions concrètes et adaptées à votre secteur et à vos priorités
- Une éthique rigoureuse et un engagement réel aux côtés des clients
Comment démarrer une collaboration ?
C’est simple : nous échangeons sur vos besoins, réalisons un diagnostic initial, puis vous présentons une proposition d’accompagnement adaptée à vos objectifs.
Vous pouvez nous contacter directement ou demander un devis personnalisé.
Qu’est-ce qu’un audit RGPD ?
Un audit RGPD permet d’évaluer l’état de votre conformité sur les plans organisationnel, technique, juridique et documentaire. Il débouche sur un plan d’actions priorisé, vous permettant de structurer efficacement votre mise en conformité.
Combien de temps dure un audit RGPD ?
En général, un audit pour une PME dure entre cinq (5) et dix (10) jours d’intervention, répartis sur une période allant d’une à trois semaines afin de limiter l’impact sur vos activités.
La durée dépend de la taille et de la complexité de votre organisation, ainsi que du volume de traitements réalisés.
Quel est l’intérêt d’externaliser la fonction de DPO ?
Externaliser votre Délégué à la Protection des Données vous permet de bénéficier d’une expertise certifiée, sans mobiliser de ressources internes à plein temps. C’est une solution souple, conforme à la réglementation et adaptée à de nombreuses structures.
Qu’est-ce qu’une AIPD (Analyse d’Impact sur la Protection des Données) ?
L’AIPD (EIVP, ou encore « PIA » en anglais) est obligatoire dans le cadre de certains traitements présentant un risque élevé pour les droits et libertés des personnes (ex : dispositif de surveillance des salariés, traitement de données concernant des personnes vulnérables, etc.).
Elle consiste principalement à :
- Identifier les risques
- Évaluer leur gravité
- Définir et documenter les mesures de mitigation
Le RGPD impose-t-il de former les équipes ?
La sensibilisation des équipes est une obligation implicite du RGPD et un levier essentiel pour éviter les erreurs, responsabiliser les collaborateurs et pérenniser la conformité dans la durée.
Nous proposons des sessions sur mesure, y compris pour accompagner la montée en compétence des référents internes.
Quelles formations propose PRIVALORA sur le RGPD et la cybersécurité ?
Nos formations couvrent les thématiques suivantes :
- Les enjeux du RGPD et la protection des données personnelles
- Les enjeux de la cybersécurité et les bonnes pratiques numériques
- L’usage responsable des outils d’IA générative
Pourquoi mettre en conformité un site web au RGPD ?
Votre site web collecte des données (cookies, formulaires, tracking, etc.) et doit respecter des règles précises en matière de transparence, de consentement, d’information des utilisateurs et de sécurité.
Nous proposons un audit dédié et des forfaits de mise en conformité web.
Est-ce que PRIVALORA peut intervenir uniquement pour un projet précis ?
Oui. Nos prestations sont entièrement modulables de la mission ponctuelle (audit RGPD, tâches de mise en conformité, réalisation d’AIPD, etc.) à l’accompagnement continu, par exemple via un forfait mensuel.